EFS文件加密.docVIP

域环境下如何保护重要资料文件的安全(一)---EFS加密(上) hi,大家好.我想和大家从简入难地交流一下这个话题,是由来于论坛上一个网友的提问( 链接:/thread-604202-1.html).可能还有很多朋友也关心这个问题,那么我们就来一起看看怎么解决它吧.: d3 R??j9 _: c Z, e话说资料文件的安全一直是比较受到公司重视的部分.以本人所在的公司来说,由于企业性质,员工进出单位都是禁止携带移动存储设备的(有保卫部门安检,违反规定的员工必然开除),并且公司内客户端(超过1500台)电脑全部做了USB端口管制,Netscreen硬件防火墙+ISA代理服务器限制上网,等等等等,部署了多重安全措施.足见公司对资讯安全的重视!那么,这样就无懈可击了吗?如果在域环境下,有人趁我不在的时候用他/她自己的域账号登录了我的电脑,偷看了我的重要文件(绝不该他/她看的文件)呢?如果文件被打开然后被打印或被抄写,纸张带在身上可不会触发金属探测器的哦./ a7 \ @ A4 V??]那么,我们要用什么方法来尽量避免此类情况出现呢?并且前提是:7 J2 r; g4 d??^一.尽量花钱少,现在提倡开源节流,申请买什么都难啊,别说是动辄几千上万的软件硬件了.7 d# } m3 w t* A2 |二.用户体验良好,不能有太复杂的操作让用户(员工)来做,这点很重要.操作过于复杂,可能造成用户操作失误而没有达到效果,另外长期以往,用户会产生抵触心理而不怎么使用它.7 e: i6 G9 {, f I三.加密技术成熟,不要像PDF,winrar这类加密文件随便google一下也有百八十种破解工具.6 O8 ~$ w# E??~. w6 m好吧,目标很明确了,开始挑战之旅吧.??`! p! H2 @* f0 \9 y先看看现有的环境.公司客户端操作系统基本上都安装的是Windows XP Professional,还有极少部分的Windows 2000 Professional,并且磁盘上的分区格式基本上都为NTFS(老旧的2000还有用FAT32格式,XP系统都是我们IT部门统一安装的,可以保证是NTFS磁盘文件格式).我们在请出今天的主角之前,要先把残留的FAT32消灭,都换成NTFS.* C7 S% S* u, f+ h! |??@??^那得先把装Win2000的客户端从局域网中都找出来.手段多种多样,最省事的,发个全厂mail通知用户查看自己的计算机情况,然后不是ntfs的打电话或发邮件反馈,那样动静太大了,而且也体现不出我们系统工程师的水平...所以,一般可以使用脚本收集客户端信息再来导入到数据库中查找(---最专业最繁琐的做法), 好在我的环境中有SMS2003,省事了,直接到计算机集合里面看看就知道啦~8 x8 r2 X- J0 V??A[图略]2 C: A6 g* n! h A( N- g% d找到了以后提出远程控制请求.取得了客户机的控制权以后我们要做的就是转化磁盘格式.命令相信大家已经烂熟于心了: . V. p4 u, L0 S, g( vCONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]* f* d3 M x, ~1 t h如果提示你当前域用户权限不足,而你又不想登出切换管理员账号,不妨用用runas命令.7 i5 f1 u, d+ w% H然后重启计算机,完成磁盘格式转化.) F+ }3 \) @. G, |0 u- i7 {5 k+ `接下来我们可以请出本文主角了---EFS (Encrypting File System，加密档案系统)) y4 y/ t; t4 ?1 r; {1 q简单介绍一下EFS吧.从Windows 2000/XP/Server 2003开始,系统都配备了EFS（Encrypting File System，加密档案系统），它可以针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作.说到对用户透明,是因为你(用户)使用它加密的文件在访问时不会产生任何让你输入密码之类的操作,感觉和没有和访问未加密文件没有区别.我们后面演示部分会看到.! Y( R6 K. u5 z [1 ~5 y) w其实,DFS加密技术也是采用了公钥/私钥密码学原理的,这个原理要铺上来怕是几千字都不够写,大家只要记住一点就好:公钥加密,私钥解密.所以任何被某用户公钥加密后的NTFS文件也只能被此用户的私钥解密,没有手握这个用户私钥的其他用户想解密/查看是办不到的.$ ^9 y3 H??B* q# K; n要使用EFS来加密文件或文件夹,那真的是非常简单:+ [9 ]/ A??e- J7 G??p这里有